基于安全信息的態(tài)勢(shì)分析

【摘 要】本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，并建立了從原子態(tài)勢(shì)、主機(jī)態(tài)勢(shì)及網(wǎng)絡(luò)態(tài)勢(shì)的層次化分析流程；采用自信息熵的理論去計(jì)算原子態(tài)勢(shì)發(fā)生的概率，利用加權(quán)求和的方法對(duì)各層態(tài)勢(shì)進(jìn)行分析；最后，使用真實(shí)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對(duì)提出的分析流程和模型進(jìn)行了驗(yàn)證。

【關(guān)鍵詞】安全信息；原子態(tài)勢(shì)；安全態(tài)勢(shì)；數(shù)據(jù)分析

隨著我國(guó)互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)環(huán)境日益復(fù)雜，攻擊用戶不斷增加以及攻擊手段愈加復(fù)雜，使來(lái)自網(wǎng)絡(luò)的威脅猛烈地增長(zhǎng)，網(wǎng)絡(luò)安全遭受重大挑戰(zhàn)。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，保護(hù)人們的日常工作、學(xué)習(xí)和生活，快速掌握當(dāng)前安全形勢(shì)，于是人們?cè)噲D尋求一種評(píng)估當(dāng)前環(huán)境“安全態(tài)勢(shì)”的方法，以判斷網(wǎng)絡(luò)的安全性和可靠性。

網(wǎng)絡(luò)安全專家Bass提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，借鑒了空中交通監(jiān)管態(tài)勢(shì)感知的成熟技術(shù)和理論。網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行獲取、理解、評(píng)估以及未來(lái)發(fā)展趨勢(shì)的預(yù)測(cè)。數(shù)據(jù)挖掘是從大量分散在各個(gè)空間的數(shù)據(jù)中自動(dòng)發(fā)現(xiàn)和整合隱藏于其中的有著特殊關(guān)系性的信息的過(guò)程。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是通過(guò)整合采集到的安全數(shù)據(jù)和信息，進(jìn)行數(shù)據(jù)挖掘，分析其相關(guān)性并從威脅中獲得安全態(tài)勢(shì)圖來(lái)得到整個(gè)網(wǎng)絡(luò)的安全狀態(tài)。本文基于網(wǎng)絡(luò)的安全信息，建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估模型，通過(guò)數(shù)據(jù)挖掘，分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)。

一、需要采集的安全信息

為了分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)，需要針對(duì)要評(píng)估的內(nèi)容進(jìn)行相關(guān)安全數(shù)據(jù)的采集，之后可根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)分析安全態(tài)勢(shì)。網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全事件中最小單位的威脅事件定義為原子態(tài)勢(shì)，本課題以原子態(tài)勢(shì)為基礎(chǔ)，構(gòu)建需要采集的影響原子態(tài)勢(shì)的多維、深層次安全數(shù)據(jù)集。

（一）原子態(tài)勢(shì)

主機(jī)安全態(tài)勢(shì)包含多個(gè)原子態(tài)勢(shì)，是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析的基礎(chǔ)和核心，由此可以推出所在主機(jī)的安全狀態(tài)。

（二）需要采集的安全數(shù)據(jù)

分析各個(gè)原子態(tài)勢(shì)，其中包含信息泄露類原子態(tài)勢(shì)、拒絕服務(wù)類原子態(tài)勢(shì)、數(shù)據(jù)篡改類原子態(tài)勢(shì)、入侵控制類原子態(tài)勢(shì)、網(wǎng)絡(luò)欺騙類原子態(tài)勢(shì)及安全規(guī)避類原子態(tài)勢(shì)，由此可以分析出需要在主機(jī)采集的安全數(shù)據(jù)。

由于網(wǎng)絡(luò)安全態(tài)勢(shì)是動(dòng)態(tài)的，它隨著當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況的特性及網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量和網(wǎng)絡(luò)所受的威脅程度等因素發(fā)生變化。原子態(tài)勢(shì)是影響網(wǎng)絡(luò)安全狀況的基礎(chǔ)態(tài)勢(shì)，故提出原子態(tài)勢(shì)發(fā)生的頻率和原子態(tài)勢(shì)的威脅程度兩個(gè)指標(biāo)去對(duì)原子態(tài)勢(shì)進(jìn)行評(píng)估。 圖1的原子態(tài)勢(shì)一般只用于分析一個(gè)主機(jī)的安全性，如果要分析一個(gè)網(wǎng)絡(luò)的安全性，需要對(duì)網(wǎng)絡(luò)中各主機(jī)的安全信息進(jìn)行挖掘分析，進(jìn)而得出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。

二、基于安全信息的態(tài)勢(shì)挖掘模型

本文將全信息熵理論引入到網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估中，全信息的三要素分別代表的含義如下：語(yǔ)法信息是指從網(wǎng)絡(luò)安全設(shè)備中得到某一類威脅事件，并轉(zhuǎn)換為概率信息；語(yǔ)義信息是指該類威脅事件具體屬于什么類型；語(yǔ)用信息是某一類威脅事件對(duì)網(wǎng)絡(luò)造成的威脅程度。

（一）網(wǎng)絡(luò)安全態(tài)勢(shì)分析過(guò)程

根據(jù)采集操的安全數(shù)據(jù)集，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析時(shí)會(huì)涉及到安全數(shù)據(jù)指標(biāo)量化、評(píng)估原子態(tài)勢(shì)、通過(guò)原子態(tài)勢(shì)分析主機(jī)安全態(tài)勢(shì)、通過(guò)主機(jī)安全態(tài)勢(shì)分析網(wǎng)絡(luò)安全態(tài)勢(shì)等一系列的過(guò)程。

具體的網(wǎng)絡(luò)安全態(tài)勢(shì)分析評(píng)估流程如下所示：

1.從網(wǎng)絡(luò)安全設(shè)備中提取各種原子態(tài)勢(shì)，對(duì)原子態(tài)勢(shì)進(jìn)行分類后提取原子態(tài)勢(shì)頻率和原子態(tài)勢(shì)威脅程度兩個(gè)量化指標(biāo)。針對(duì)原子態(tài)勢(shì)類型不同，計(jì)算分析相應(yīng)的原子態(tài)勢(shì)。

2.將原子態(tài)勢(shì)利用加權(quán)信息熵的相關(guān)理論計(jì)算原子態(tài)勢(shì)值；

3.根據(jù)原子態(tài)勢(shì)和原子態(tài)勢(shì)值，分析計(jì)算主機(jī)安全態(tài)勢(shì)和主機(jī)安全態(tài)勢(shì)值；

4.根據(jù)網(wǎng)絡(luò)中主機(jī)的安全態(tài)勢(shì)情況，利用安全數(shù)據(jù)挖掘模型分析網(wǎng)絡(luò)安全態(tài)勢(shì)。

（二）原子態(tài)勢(shì)分析量化

為了綜合評(píng)價(jià)原子態(tài)勢(shì)給網(wǎng)絡(luò)帶來(lái)的損失，將原子態(tài)勢(shì)評(píng)估指標(biāo)按照某種效用函數(shù)歸一化到一個(gè)特定的無(wú)量綱區(qū)間。常用的方法是根據(jù)指標(biāo)的實(shí)際數(shù)據(jù)將指標(biāo)歸一化到[0，1]之間。

原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)為原子態(tài)勢(shì)發(fā)生概率和原子態(tài)勢(shì)威脅程度。語(yǔ)法信息指某一個(gè)原子態(tài)勢(shì)的集合，用原子態(tài)勢(shì)發(fā)生概率表示，設(shè)第i 個(gè)原子態(tài)勢(shì)發(fā)生概率為Pi，且（m為網(wǎng)絡(luò)系統(tǒng)中原子態(tài)勢(shì)的總數(shù)）；語(yǔ)義信息決定原子態(tài)勢(shì)包含的態(tài)勢(shì)內(nèi)涵；語(yǔ)用信息是某一個(gè)原子態(tài)勢(shì)的威脅程度，記為w，當(dāng)w等于1時(shí)，威脅程度最大，w等于0時(shí)威脅程度最小，在描述威脅程度時(shí)，因?yàn)橥{程度表示單一態(tài)勢(shì)對(duì)網(wǎng)絡(luò)造成的危害，故類型的威脅程度之和可不為1。

本文將原子態(tài)勢(shì)威脅分為很高、高、中等、低、極低五個(gè)等級(jí)，并轉(zhuǎn)換為[0，1]區(qū)間的量化值。以最大威脅賦值1為標(biāo)準(zhǔn)，得五個(gè)威脅等級(jí)0與1之間的賦值為1、0.8、0.6、0.4、0.2。

原子態(tài)勢(shì)的態(tài)勢(shì)值由原子態(tài)勢(shì)發(fā)生的個(gè)數(shù)（歸一化后為概率）及威脅程度權(quán)重共同決定。若信息發(fā)生ai的概率為p，按照香農(nóng)信息熵的定義，ai的自信息可通過(guò)來(lái)表示。從網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的角度來(lái)看，網(wǎng)絡(luò)安全事件發(fā)生的概率越大時(shí)，對(duì)應(yīng)的信息熵值應(yīng)該是越大，可以用香農(nóng)信息論中的自信息的倒數(shù)來(lái)表示。

（三）網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)挖掘模型

網(wǎng)絡(luò)態(tài)勢(shì)的分析和計(jì)算需要原子態(tài)勢(shì)數(shù)據(jù)的支持，然后在機(jī)密性、可用性、完整性、權(quán)限、不可否認(rèn)性及可控性幾個(gè)方面進(jìn)行歸納聚類，最后進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的分析。

三、實(shí)驗(yàn)分析

按照屬性的不同，分別計(jì)算各個(gè)屬性的態(tài)勢(shì)值，根據(jù)公式，對(duì)表2的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可得：機(jī)密性態(tài)勢(shì)值為1.18686；權(quán)限態(tài)勢(shì)值為0.88；完整性態(tài)勢(shì)值為0.21；可用性態(tài)勢(shì)值0.23926；不可否認(rèn)性態(tài)勢(shì)值0；可控性態(tài)勢(shì)值0。主機(jī)受到其各個(gè)屬性的影響，包括機(jī)密性、完整性、可用性、權(quán)限、不可否認(rèn)性及可控性。利用層次分析法計(jì)算屬性權(quán)重，以主機(jī)機(jī)密性為參照標(biāo)準(zhǔn)：機(jī)密性比完整性比較重要，機(jī)密性比可用性稍微重要，機(jī)密性比權(quán)限比較重要，機(jī)密性比不可否認(rèn)性十分重要，機(jī)密性比可控性比較重要。故經(jīng)matlab計(jì)算可得機(jī)密性權(quán)重為0.4522，可用性權(quán)重為0.2296，完整性權(quán)重為0.0931，權(quán)限權(quán)重為0.0931，不可否認(rèn)性權(quán)重為0.0389，可控性權(quán)重為0.0931。主機(jī)的態(tài)勢(shì)值是將各個(gè)屬性的態(tài)勢(shì)值進(jìn)行加權(quán)求和得到，故主機(jī)態(tài)勢(shì)值為0.69291。

網(wǎng)絡(luò)內(nèi)主機(jī)主要分為服務(wù)器和客戶端兩種，服務(wù)器一般具有重要的數(shù)據(jù)資源，在此定義服務(wù)器重要性權(quán)重為3，客戶端重要性權(quán)重為1，權(quán)重進(jìn)行歸一化后得服務(wù)器和客戶端的權(quán)重分別為0.75和0.25。本次實(shí)驗(yàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器及Web服務(wù)器的日志進(jìn)行了分析，數(shù)據(jù)庫(kù)服務(wù)器的日志不存在異常現(xiàn)象，即可認(rèn)為數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)態(tài)勢(shì)值為0，依據(jù)格式計(jì)算可得網(wǎng)絡(luò)安全態(tài)勢(shì)值為0.51968。

若安全信息量繼續(xù)增大，可按照本節(jié)計(jì)算方法對(duì)其他時(shí)間點(diǎn)及其他主機(jī)態(tài)勢(shì)值進(jìn)行計(jì)算。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法就是用來(lái)展現(xiàn)不同時(shí)間點(diǎn)不同主機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)情況，故在考慮的時(shí)間點(diǎn)較多的情況下，可構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)值與時(shí)間點(diǎn)形成的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線，由此可以推測(cè)未來(lái)網(wǎng)絡(luò)的安全趨勢(shì)和受到的攻擊類型。

四、結(jié)論

本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，建立了基于原子態(tài)勢(shì)的安全態(tài)勢(shì)分析流程和模型，并搭建了局域網(wǎng)的實(shí)驗(yàn)環(huán)境，利用網(wǎng)絡(luò)環(huán)境中兩臺(tái)服務(wù)器日志數(shù)據(jù)分析了Web服務(wù)器的主機(jī)態(tài)勢(shì)及該局域網(wǎng)的網(wǎng)絡(luò)態(tài)勢(shì)，并提出了未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)預(yù)測(cè)的方法。